Pharma-Unternehmen in der Schweiz sind Hauptziele staatlich gesponserter Cyberspionage
Die Schweiz beherbergt eine der dichtesten Konzentrationen pharmazeutischer Forschung und Produktion weltweit. Allein der Grossraum Basel – auch als «Pharma-Dreieck» bekannt – ist Heimat von Novartis, Roche und Dutzenden Biotech-Unternehmen. Diese Konzentration macht die Schweizer Pharmaindustrie zu einem bevorzugten Angriffsziel für staatlich gesponserte Cyberoperationen, organisierte Wirtschaftsspionage und opportunistische Ransomware-Gruppen.
Die wirtschaftlichen Einsätze sind enorm: Ein einziger gestohlener Wirkstoff oder die kompromittierten Daten einer klinischen Phase-III-Studie können Milliardenwerte vernichten – an Forschungsinvestitionen, Marktposition und Vertrauen. Laut dem Weltwirtschaftsforum gehört der Diebstahl geistigen Eigentums zu den drei grössten wirtschaftlichen Schäden durch Cyberkriminalität weltweit, und die Pharmabranche ist dabei überproportional betroffen.
Warum Pharma-Unternehmen besonders gefährdet sind
Jahrzehntelange Forschungsinvestitionen als digitales Ziel
Ein neues Medikament zu entwickeln kostet im Durchschnitt über 2,6 Milliarden US-Dollar und dauert 10 bis 15 Jahre. Diese Investitionen existieren heute überwiegend in digitaler Form: Syntheseformeln, präklinische Studiendaten, molekulare Strukturen, Patentanmeldungen, Zulassungsunterlagen. Ein Angreifer, der diese Daten stiehlt, erhält für vergleichsweise wenig Aufwand einen enormen Vorsprung.
Staatlich gesponserte Gruppen – insbesondere aus China, Russland und dem Iran – haben Pharmaunternehmen systematisch ins Visier genommen. Während der COVID-19-Pandemie dokumentierte das NCSC mehrere Angriffsversuche auf Schweizer Pharmaunternehmen, die an Impfstoffentwicklungen beteiligt waren. Diese Angriffe sind nicht opportunistisch – sie sind strategisch geplant und langfristig angelegt.
Klinische Studien: Datenintegrität als regulatorische und ethische Verpflichtung
Klinische Studiendaten sind nicht nur wirtschaftlich wertvoll – ihre Manipulation kann direkte Konsequenzen für Patientensicherheit und Zulassungsentscheide haben. Wenn Studiendaten kompromittiert werden, müssen unter Umständen Studien wiederholt, Zulassungsanträge zurückgezogen oder bereits zugelassene Medikamente vom Markt genommen werden.
Die Manipulation von Studiendaten durch einen Angreifer ist heute eine realistische Bedrohung. Modern Criminal-Threat-Actors sind in der Lage, Daten subtil zu verändern, ohne dass dies bei Standard-Qualitätsprüfungen auffällt. Gemäss einer Studie von Ponemon Institute hatten 56% der Pharmaunternehmen in den letzten zwei Jahren einen signifikanten Datensicherheitsvorfall – und nur 40% davon konnten die Vollständigkeit ihrer Studiendaten nach dem Vorfall mit Sicherheit bestätigen.
GxP-Compliance und IT-Sicherheit: Untrennbar verbunden
GxP ist der Oberbegriff für Good Manufacturing Practice (GMP), Good Clinical Practice (GCP) und Good Laboratory Practice (GLP). Diese Regularien – erlassen von Swissmedic, der EMA und der FDA – legen fest, wie pharmazeutische Prozesse dokumentiert, validiert und kontrolliert werden müssen.
IT-Systeme, die GxP-relevante Daten verarbeiten, unterliegen damit spezifischen Sicherheitsanforderungen:
Datenintegrität (ALCOA+-Prinzipien): Alle Daten müssen attributable, legible, contemporaneous, original und accurate sein. Jede unbefugte Änderung muss nachvollziehbar sein. Das erfordert unveränderliche Audit-Trails und sichere Logging-Systeme.
Computersystemvalidierung (CSV): GxP-relevante IT-Systeme müssen vor Inbetriebnahme und nach jeder wesentlichen Änderung validiert werden. Sicherheits-Patches, die den validierten Systemzustand verändern, erfordern damit einen erneuten Validierungsprozess – was Patch-Management in der Pharmaindustrie zu einer besonders aufwändigen Aufgabe macht.
Elektronische Unterschriften und Zugriffskontrolle: 21 CFR Part 11 (FDA) und das EU-Äquivalent Annex 11 legen fest, wie elektronische Aufzeichnungen und Unterschriften zu sichern sind. Schwache Zugriffskontrollen stellen nicht nur ein Sicherheitsrisiko dar – sie können die Zulassungsfähigkeit eines Produkts gefährden.
Die Integration von IT-Sicherheit in GxP-Prozesse ist kein «nice to have» – sie ist regulatorische Pflicht. Unsere nDSG-Checkliste für KMU gibt einen ersten Überblick über die datenschutzrechtlichen Anforderungen, die parallel zu GxP-Anforderungen gelten.
Operational Technology in der Pharmaproduktion
Neben der klassischen IT-Infrastruktur betreiben Pharmaunternehmen umfangreiche Operational-Technology-(OT)-Systeme: Bioreaktoren, Sterilisationsanlagen, Abfüll- und Verpackungslinien, HVAC-Systeme in Reinräumen. Diese Systeme wurden historisch als isoliert betrachtet – eine Annahme, die heute gefährlich falsch ist.
Moderne Pharmaproduktionen sind hochgradig vernetzt. SCADA-Systeme, Prozessleitsysteme und Labordateninformationssysteme (LIMS) kommunizieren regelmässig mit ERP-Systemen und dem Internet. Angreifer, die über die IT-Infrastruktur eindringen, können sich lateral bis in OT-Systeme vorbewegen und dort physischen Schaden anrichten – oder subtil die Produktionsparameter verändern, ohne sofortige Alarmierung.
“Ein Angriff auf ein Pharmaunternehmen, der die Produktion eines kritischen Medikaments unterbricht, ist heute nicht nur ein wirtschaftlicher Schaden – er kann zu echten Versorgungsengpässen führen und ist damit ein Angriff auf die öffentliche Gesundheit.” – Sicherheitsforscherin, ETH Zürich, Forschungsgruppe Critical Infrastructure
Der Basler Pharmecluster: Konzentration als Risikofaktor
Die geografische Konzentration der Schweizer Pharmaindustrie in der Region Basel hat einen bekannten Nebeneffekt: Angreifer können mit einem einzigen, gut platzierten Angriff mehrere Unternehmen gleichzeitig kompromittieren – über gemeinsame Lieferanten, Softwareanbieter oder Forschungspartner.
Der Schweizer Pharmasektor beschäftigt über 47’000 Personen direkt und trägt rund 5,5% zum Schweizer BIP bei. Mehr als 30 der weltweit 50 grössten Pharmaunternehmen haben in der Schweiz eine operative Präsenz. Diese wirtschaftliche Bedeutung macht den Sektor zu einem strategischen Ziel für staatliche Akteure, die durch Wirtschaftsspionage Wettbewerbsvorteile für ihre nationale Industrie gewinnen wollen.
Der Austausch zwischen Unternehmen im Pharmecluster – sei es durch Forschungskooperationen, Personalfluktuation oder geteilte Infrastrukturen – schafft Angriffsvektoren, die über das einzelne Unternehmen hinausgehen. Phishing-Angriffe gegen Mitarbeitende, die in mehreren Netzwerken aktiv sind, sind besonders gefährlich.
Supply Chain Security in der Pharmabranche
Schweizer Pharmaunternehmen sind in globale Lieferketten eingebunden: Wirkstoffe aus Indien und China, Verpackungsmaterialien aus ganz Europa, CROs (Contract Research Organizations) auf vier Kontinenten. Jeder dieser Partner ist ein potenzieller Angriffspunkt.
Der SolarWinds-Angriff von 2020 hat gezeigt, wie weitreichend die Folgen eines Supply-Chain-Angriffs sein können. Für Pharmaunternehmen kommt hinzu, dass auch die physische Lieferkette – Kühlkettenüberwachung, Echtheitszertifikate für Wirkstoffe, Lagerungsbedingungen – zunehmend digital gesteuert wird und damit angreifbar ist.
Für einen strukturierten Ansatz empfehlen wir, mit unserer Cybersecurity-Checkliste für KMU zu beginnen und dann mit einem Sicherheitsexperten die pharmaspezifischen Anforderungen zu ergänzen.
Konkrete Angriffsvektoren: Was Red Teams in Pharma-Umgebungen finden
In Red Teaming-Einsätzen bei Pharma- und Life-Sciences-Unternehmen begegnen wir regelmässig denselben kritischen Schwachstellen:
Ungeschützte Laborsysteme: Laborgeräte wie Massenspektrometer, HPLC-Systeme und Sequenziergeräte laufen häufig auf veralteten Windows-Versionen und sind über das Unternehmensnetzwerk erreichbar. Patches sind oft nicht eingespielt, weil die Gerätelieferanten die Zertifizierung für neuere Betriebssystemversionen nicht bereitstellen.
Passwort-Sharing in Forschungsabteilungen: Aus praktischen Gründen teilen sich Forschungsteams oft Login-Daten für Labor-Informationsmanagementsysteme (LIMS). Das macht individuelle Nachvollziehbarkeit von Aktionen unmöglich und ist gleichzeitig ein GxP-Verstoss.
Shadow IT in F&E: Forschende laden Studiendaten auf persönliche Cloud-Speicher hoch, kommunizieren Ergebnisse über Konsumenten-Apps und nutzen nicht genehmigte Kollaborationstools. Diese «Schatten-IT» ist weder gesichert noch auditiert.
Schwache VPN-Konfigurationen: Viele Pharmaunternehmen haben während der Pandemie schnell Remote-Access-Lösungen eingeführt, ohne diese angemessen abzusichern. Veraltete VPN-Clients, fehlende Multi-Faktor-Authentifizierung und übermässig breite Zugriffsrechte sind die Regel.
Mangelhafte Netzwerksegmentierung zwischen IT und OT: Die Trennung zwischen Büronetzwerk und Produktionsnetzwerk ist oft unvollständig. In einem unserer Einsätze konnten wir von einem kompromittierten Laptop eines Mitarbeitenden aus direkten Zugriff auf ein Produktionsleitsystem erlangen.
“Pharma-Unternehmen investieren Milliarden in Forschung und Entwicklung, aber der Schutz dieser Investitionen ist oft erschreckend lückenhaft. Ein realistischer Angriffssimulation offenbart regelmässig, dass die tatsächliche Sicherheitslage weit hinter dem wahrgenommenen Schutzniveau zurückbleibt.” – Red Team Lead, CybersecuritySwitzerland
Regulatorische Rahmenbedingungen: Swissmedic, FDA und EMA
Schweizer Pharmaunternehmen mit internationalem Geschäft navigieren durch ein komplexes Regulierungsgeflecht:
Swissmedic: Die schweizerische Zulassungs- und Aufsichtsbehörde hat die Anforderungen an die IT-Sicherheit in validierten Systemen in den letzten Jahren verschärft. Inspektionen schliessen zunehmend Fragen zur Cybersicherheit und Datenintegrität ein.
EU GMP Annex 11: Gilt für alle Unternehmen, die in den EU-Markt liefern, und legt detaillierte Anforderungen an computergestützte Systeme fest.
FDA 21 CFR Part 11: Für Unternehmen, die in den US-Markt liefern oder FDA-regulierte klinische Studien durchführen. Die FDA hat in den letzten Jahren Cybersicherheit explizit in ihre Inspektionsleitlinien für Medizinprodukte und Pharma aufgenommen.
ISO 27001 / ICH Q10: Die Integration eines Informationssicherheitsmanagementsystems (ISO 27001) mit dem pharmazeutischen Qualitätsmanagementsystem (ICH Q10) wird zunehmend als Best Practice erwartet.
Ransomware in der Pharmaindustrie: Betriebsunterbrechung als existenzielle Bedrohung
Ransomware trifft Pharmaunternehmen besonders hart, weil:
- Produktionsausfälle bei zeitkritischen Medikamenten (z.B. Insulinpräparate, Krebsmedikamente) direkte Auswirkungen auf Patientenversorgung haben
- Die Wiederherstellung GxP-konformer Systeme erheblich länger dauert als in anderen Branchen, da Revalidierung erforderlich ist
- Angreifer wissen, dass die Bereitschaft zur Lösegeldzahlung hoch ist, wenn Patienten-Versorgungsengpässe drohen
Der NotPetya-Angriff 2017 – der auch Pharmaunternehmen traf – verursachte weltweit Schäden von über 10 Milliarden US-Dollar und gilt als einer der kostspieligsten Cyberangriffe aller Zeiten.
Fazit
Die Schweizer Pharmaindustrie ist einer der wertvollsten Wirtschaftssektoren des Landes – und einer der am stärksten bedrohten. Staatliche Akteure, organisierte Kriminelle und opportunistische Angreifer haben erkannt, dass der digitale Einbruch in ein Forschungslabor weitaus effizienter ist als klassische Industriespionage. Die regulatorischen Anforderungen durch GxP, Swissmedic und FDA machen die Situation noch komplexer: Sicherheitsmassnahmen müssen nicht nur wirksam, sondern auch validiert und auditierbar sein.
Wer seine Forschungsinvestitionen, klinischen Daten und Produktionsprozesse schützen will, braucht mehr als Antivirensoftware und jährliche Penetrationstests.
Bereit für den Realitätscheck?
Mit einem Red Teaming-Einsatz von CybersecuritySwitzerland testen wir Ihre Abwehrmechanismen unter realen Angriffsbedingungen – angepasst an die spezifischen Anforderungen der Pharmaindustrie, inklusive OT-Systemen und GxP-Umgebungen.
Red Teaming für Pharma- und Life-Sciences-Unternehmen ab CHF 11’900 – mit Abschlussbericht, Executive Summary für die Geschäftsleitung und konkretem Massnahmenplan.